Cyberbeveiliging
NIS2 maakt fysieke beveiliging tot een cyberprobleem
In januari 2026 liepen we het hoofdkantoor van een Nederlandse middelgrote organisatie binnen, voorbij de receptie, voorbij twee toegangsdeuren, tot in de serverruimte. Geen badge geforceerd. Geen alarm geactiveerd. De camerabeelden lieten achteraf de hele reeks zien. Het bestuur was geschokt. De penetratietest had geen enkele digitale exploit gebruikt.
Dat moment is geen incident. Het is een symptoom van een aanname die nog steeds leeft binnen veel organisaties: dat fysieke beveiliging een apart vakgebied is, met aparte leveranciers, aparte budgetten en aparte verantwoordelijkheid. Die aanname houdt geen stand meer. NIS2 maakt dat expliciet. Zero trust dwingt de kwestie af. En de markt loopt achter op de feiten.
Drie bewegingen hebben de scheiding uitgewist.
Het aanvalsoppervlak is samengekomen. Een moderne IP-camera draait op je interne netwerk een Linux-stack. Een cloudgebaseerd toegangscontrolesysteem koppelt aan je identity provider. Een deursensor stuurt telemetrie naar een SaaS-platform in een ander rechtsgebied. Elk onderdeel voor fysieke beveiliging is nu een endpoint — met firmware, inloggegevens, supply chain en update-discipline. De Amerikaanse en Europese beperkingen op Hikvision en Dahua zijn niet ingevoerd uit voorzichtigheid; ze zijn ingevoerd omdat de apparaten aantoonbaar onderdeel waren geworden van de cyberdreiging.
Identiteit is samengekomen. Wie toegang krijgt tot een gebouw, is dezelfde persoon die toegang krijgt tot een applicatie. Dat klinkt vanzelfsprekend, maar operationeel is het zelden zo ingericht. Cloud-native toegangscontroleplatforms zoals Avigilon Alta en Verkada integreren native met Microsoft Entra ID. Een vertrekkende medewerker wordt in één handeling verwijderd uit het gebouw en uit Microsoft 365. Dat is geen feature; het is een fundament voor zero trust. Organisaties die nog steeds twee aparte processen draaien, dragen onnodig risico en operationele ballast.
NIS2 codificeert de fusie. De richtlijn schrijft niet voor welke camera je moet kopen. Maar ze vereist risicogebaseerd beheer van fysieke en logische toegangsbeveiliging als één geheel. Toegangscontrole, beveiligingscamera's en gerelateerde IoT-apparatuur vallen onder dezelfde verplichting tot risicoanalyse als je SIEM en je endpointbeveiliging. De toezichthouder kijkt naar het systeem, niet naar twee silo's.
Wat dit betekent voor de mid-market.
In de Benelux werden mid-marketbedrijven tussen 50 en 500 medewerkers fysieke beveiliging vaak jaren geleden geïnstalleerd door een integrator die buiten de IT-functie opereerde. Camera's hangen op een speciaal VLAN dat zelden wordt gepatcht. De toegangsbadges zijn verouderde proximity cards met bekende kwetsbaarheden. De cybersecurityleverancier kijkt er niet naar; de fysieke leverancier kan niet uitleggen hoe het systeem zich verhoudt tot Entra ID. Dit is geen competentiekloof. Het is een ontbrekende laag boven beide: een laag die de twee werelden samenbrengt.
Hieruit volgen drie concrete gevolgen voor besturen.
De selectiecriteria voor nieuwe fysieke beveiliging zijn veranderd. Stop met alleen beslissen op beeldkwaliteit, prijs per kanaal of installatiekosten. Beoordeel firmwarebeveiliging, integriteit van de supply chain, integratie met de identity provider en de cloudarchitectuur van de leverancier. Dat zijn cybersecurityvragen, geen beveiligingsvragen.
Leveranciersonafhankelijk advies is waardevoller dan ooit. Een installateur verkoopt het systeem dat hij voert. Een cybersecurity-MSP begrijpt de fysieke kant niet. De organisatie die beide werelden begrijpt en aan geen van beide gebonden is, kan zonder belangenverstrengeling de juiste keuze maken. Op een investering van tien jaar is die onafhankelijkheid het verschil tussen lock-in en optiewaarde.
Verantwoordelijkheid heeft één eigenaar nodig. Zolang fysieke beveiliging onder Facilitaire Dienst valt en cybersecurity onder IT, blijft NIS2-rapportage een politiek probleem in plaats van een operationeel probleem. De CISO, of een gelijkwaardige rol, moet beide eigenaarschap hebben of er moet een expliciet escalatiepad zijn naar iemand die dat kan.
Tot slot.
Fysieke beveiliging is niet langer iets dat je koopt en vergeet. Net als je e-mail, je endpointbeveiliging en je identity stack is het een levend onderdeel van je digitale verdediging. De organisaties die dit het laatst accepteren, betalen het hoogste leergeld.
De pentest in januari werd intern door de raad van bestuur gebruikt als waarschuwend voorbeeld. Wat zij niet verwachtten, was dat het remediatieplan vooral ging over Entra ID, firmwarebeleid en SIEM-integratie. Niet over hekken en sloten.
NIS2 verandert niet wat juist is voor de organisatie. Het maakt het alleen onmogelijk om het te blijven vermijden.
Verder lezen
